Une nouvelle attaque par rançongiciel de grande ampleur, lancée à l’encontre du fournisseur américain de logiciels de gestion de réseaux Kaseya, a frappé possiblement plus d’un millier d’entreprises dans le monde, vendredi 2 juillet 2021. Le groupe de hackers REvil qui a revendiqué l’attaque a réclamé 70 millions de dollars pour restaurer les données.
Une attaque à la supply chain logicielle contre le fournisseur américain Kaseya a eu un impact massif sur des entreprises du monde entier. Les attaquants ont eu accès à l’outil de Remote Monitoring Management VSA de Kaseya. VSA est principalement utilisé par les fournisseurs de services managés qui gèrent l’informatique de PME. VSA a servi de vecteur aux attaquants, afin de faire chanter des entreprises en Amérique du Nord et du Sud, en Europe et en Afrique. Les attaquants ont exigé une rançon de 70 millions de dollars américains.
Selon l’agence Reuters, plusieurs centaines d’entreprises dans le monde sont touchées par l’attaque, alors que Bleepingcomputer évoque plus d’un millier de firmes victimes. La chaîne de supermarchés Coop a entre autres été touchée et a dû fermer 800 points de vente. Il ne s’agit toutefois pas du détaillant suisse mais de l’entreprise homonyme suédoise (une subtilité qui, à l’heure de publier ces lignes, a échappé au site spécialisé SiliconAngle…).
Mises à jour malveillantes
D’après les informations actuelles du Centre national pour la cybersécurité (NCSC), aucune firme suisse n’est concernée. Le NCSC précise dans son communiqué effectuer une surveillance tout en étant en contact avec Kaseya. Et d’ajouter que le groupe de hackers REvil (alias Sodinokibi) est suspecté d’avoir piraté le logiciel de gestion informatique VSA de Kaseya et causé l’installation de mises à jour malveillantes. Un scénario d’attaque à la supply chain qui rappelle celui de la vaste campagne de cyberespionnage SolarWinds perpétrée fin 2020. A noter que le gang REvil a récemment fait parler de lui en ciblant Apple à l’occasion de sa keynote de printemps, ainsi que la multinationale de la viande JBS.
Selon le site spécialisé Wired.com, il n’est pas encore clair si les attaquants ont exploité la vulnérabilité en amont dans les systèmes centraux de Kaseya. Il apparaît davantage probable qu’ils aient exploité des serveurs VSA individuels gérés par des fournisseurs de services managés pour transmettre ensuite les mises à jour malveillantes aux clients de ces fournisseurs.
La Russie à nouveau impliquée?
Selon Reuters, le président américain Joe Biden n’a pas exclu la possibilité que la Russie soit à l’origine de l’attaque. Une enquête a été ouverte. Le 16 juin à Genève, le président américain s’est entretenu avec son homologue russe, Vladimir Poutine, au sujet des cyberattaques dont s’accusent mutuellement les deux pays. Joe Biden avait annoncé qu’il n’hésiterait plus à riposter. Reste à voir si l’attaque contre Kaseya aura des conséquences sur le terrain des cyberopérations.